26/04/2018 |

Ricercatori F-Secure: le chiavi master degli hotel possono essere create “dal nulla”

I ricercatori di F-Secure hanno scoperto che le chiavi delle camere di catene alberghiere globali e di hotel nel mondo possono essere hackerate per ottenere accesso a qualsiasi stanza nell’edificio

I ricercatori di F-Secure hanno scoperto che le catene alberghiere globali e hotel nel mondo stanno usando un sistema elettronico di chiusura che potrebbe essere sfruttato da un attaccante per ottenere accesso a qualsiasi stanza nell’edificio. La falla di progettazione scoperta nel software del sistema di chiusura, noto come Vision by VingCard e usato per proteggere milioni di camere d’albergo nel mondo, ha spinto il più grande produttore di sistemi di chiusura, Assa Abloy, a rilasciare aggiornamenti software con security fix per mitigare la problematica.

L’attacco dei ricercatori si basa sull’utilizzo di qualsiasi chiave elettronica ordinaria di un hotel – anche una che è scaduta, scartata, o usata per accedere a spazi come il garage o il deposito. Usando le informazioni presenti sulla chiave, i ricercatori sono in grado di creare una chiave master con privilegi per aprire qualsiasi stanza nell’edificio. L’attacco può essere sferrato senza essere notati.

Potete immaginare cosa potrebbe fare una persona malintenzionata con il potere di entrare in qualsiasi stanza di un hotel, con una chiave master creata fondamentalmente dal nulla,” ha dichiarato Tomi Tuominen, Practice Leader in F-Secure Cyber Security Services. “Fino ad ora comunque non si ha evidenza che qualcun altro abbia tentato di sferrare questo particolare tipo di attacco.”

L’interesse dei ricercatori di F-Secure nell’attaccare i sistemi di chisura di un hotel è nato una decina di anni fa quando a un collega è stato rubato il notebook nella camera di un hotel dove si trovava per una conferenza sulla sicurezza informatica. Quando i ricercatori hanno denunciato il furto, lo staff dell’hotel non ha preso in considerazione la loro segnalazione per il fatto che non erano presenti segni di scasso sulla porta della camera, e non c’erano evidenze di un accesso non autorizzato negli entry log della stanza. I ricercatori hanno così deciso di investigare sul caso, e hanno scelto di prendere di mira un brand di sistemi di chiusura conosciuto per la sua qualità e sicurezza. Non si trattava di buchi evidenti di sicurezza. E’ servita un’analisi approfondita della progettazione dell’intero sistema per identificare piccole falle che, una volta combinate, hanno prodotto l’attacco. La ricerca ha richiesto diverse migliaia di ore nel corso degli anni ed è stata condotta su base continua, con un numero considerevole di prove ed errori.

Volevamo scoprire se sia possibile bypassare il sistema di chiusura elettronica senza lasciare tracce,” ha spiegato Timo Hirvonen, Senior Security Consultant di F-Secure. “Costruire un sistema di controllo accessi sicuro è molto difficile perché ci sono così tante cose che devi fare bene. Solo dopo che abbiamo capito completamente come era stato progettato il sistema, siamo stati in grado di identificare difetti apparentemente innocui. Abbiamo combinato in modo creativo questi difetti per arrivare a creare un metodo per realizzare chiavi master.”

F-Secure ha notificato ad Assa Abloy ciò che aveva scoperto e ha collaborato con il produttore di sistemi di chiusura nel corso dell’ultimo anno per implementare i fix al software. Aggiornamenti sono stati resi disponibili alle realtà interessate.

Vorrei ringraziare personalmente il team di R&D di Assa Abloy per la loro eccellente collaborazione nel rettificare queste problematiche,” ha dichiarato Tuominen.Grazie alla loro diligenza e alla ferma volontà di voler risolvere i problemi identificati dalla nostra ricerca, il mondo dell’hospitality è ora un posto più sicuro. Invitiamo qualsiasi struttura che stia usando questo software ad applicare l’aggiornamento prima possibile.”

Nota: nessuna camera d’albergo è stata violata durante questa ricerca. Gli strumenti non saranno resi disponibili.

 

Per maggiori informazioni:

Electronic Lock Systems are Vulnerable

Researchers Find Way to Generate Master Keys to Hotels

 

F-Secure

Nessuno conosce la cyber security come F-Secure. Per tre decenni, F-Secure ha guidato l’innovazione nella cyber security, difendendo decine di migliaia di aziende e milioni di persone. Con un’esperienza insuperabile nella protezione degli endpoint, così come nella rilevazione e risposta, F-Secure difende aziende e utenti da attacchi informatici avanzati, violazioni di dati e dalle diffuse infezioni ransomware. La sofisticata tecnologia di F-Secure combina la forza del machine learning con l’esperienza umana degli esperti presenti nei suoi rinomati laboratori di sicurezza con un approccio singolare chiamato Live Security. Gli esperti di sicurezza di F-Secure hanno preso parte a più investigazioni sul crimine informatico in Europa di qualsiasi altra azienda sul mercato, e i suoi prodotti sono venduti in tutto il mondo attraverso oltre 200 operatori di banda larga e telefonia mobile e migliaia di rivenditori.

Fondata nel 1988, F-Secure è quotata al NASDAQ OMX Helsinki Ltd.

f-secure.it |f-secure.com| twitter.com/fsecure | facebook.com/f-secure

Seguici anche sul blog italiano Safe&Savvy: it.safeandsavvy.f-secure.com

e sull’account Twitter italiano: @F-Secure_IT

 

Contatti per la stampa:

Samanta Fumagalli
Resp. Ufficio Stampa
samanta.fumagalli@gmail.com
info@samantafumagalli.com
Mobile 320.9011759

Gli ultimi comunicati stampa

17/07/2018

Due nuove risorse nel team italiano di F-Secure per i servizi di sicurezza gestiti

Il team continua a crescere per supportare al meglio le nuove esigenze di sicurezza delle aziende

27/06/2018

Sei in partenza per le vacanze? La protezione della tua privacy inizia già a casa

6 consigli dagli esperti di F-Secure su come proteggere dati, privacy e le nostre case connesse

18/06/2018

F-Secure compie un grande passo avanti verso la leadership nella Cyber Security con l’acquisizione di MWR InfoSecurity

Con questa acquisizione F-Secure aggiunge una piattaforma avanzata di threat hunting alla sua offerta “detection and response” ed espande i servizi di cyber security verso i più grandi mercati a livello globale

28/05/2018

Emaze sceglie F-Secure Radar per vincere la battaglia della sicurezza

Emaze, tra i principali partner di information security sul mercato italiano, ha scelto F-Secure Radar per le sue esigenze di analisi delle vulnerabilità

%d bloggers like this: